攻击者针对目标系统投放挖矿木马,梳理本次攻击事件对应的ATT&CK映射图谱如下图所示。
图2‑1 事件对应的ATT&CK映射图谱
攻击者使用的技术点如下表所示:
表2‑1 事件对应的ATT&CK技术行为描述表
|
ATT&CK阶段/类别 |
具体行为 |
注释 |
|
侦察 |
主动扫描 |
扫描log4j 2漏洞 |
|
初始访问 |
利用面向公众的应用程序 |
利用Java等面向公众的应用程序 |
|
执行 |
利用命令和脚本解释器 |
使用PowerShell和Shell脚本 |
|
利用Windows管理规范(WMI) |
删除现有WMI类的实例 |
|
|
持久化 |
利用计划任务/工作 |
设置计划任务 |
|
防御规避 |
混淆文件或信息 |
使用Base64进行混淆 |
|
发现 |
发现系统所有者/用户 |
判断系统用户名 |
|
发现进程 |
发现竞品进程 |
|
|
影响 |
资源劫持 |
利用系统CPU资源 |
Kthmimu挖矿木马在Windows平台中使用名为“lr.ps1”的PowerShell脚本执行主要功能,具体功能为下载挖矿程序和配置文件,删除现有Windows Management Instrumentation (WMI)类的实例,判断系统用户名中是否包含“SYSTEM”字符串,如果包含,使用PowerShell命令下载字符串,执行后续指令。如果不包含“SYSTEM”字符串,创建名为“log4”的计划任务,每隔5分钟重复一次。结束竞品进程程序,下载开源门罗币挖矿程序XMRig和配置文件并执行。在Linux平台中使用名为“lr.sh”的Shell脚本执行主要功能,具体功能为下载并执行挖矿程序、结束竞品挖矿程序和创建计划任务等。
图3‑1 攻击流程
攻击者使用Log4j 2漏洞进行传播攻击脚本,以下是Windows和Linux双平台Log4j 2漏洞利用代码。
图3‑2 下载lr.ps1
图3‑3 下载lr.sh
根据攻击事件对样本进行梳理得到如下信息:
表3‑1 攻击事件样本整理
|
样本下载地址 |
详细说明 |
|
hxxp[:]//14.55.65.217:8080/a/x.exe |
Windows门罗币挖矿程序 |
|
hxxp[:]//14.55.65.217:8080/a/lr.ps1 |
Windows恶意PowerShell |
|
hxxp[:]//14.55.65.217:8080/a/config.json |
门罗币挖矿配置文件 |
|
hxxp[:]//14.55.65.217:8080/a/x.rar |
Linux门罗币挖矿程序 |
|
hxxp[:]//14.55.65.217:8080/a/lr.sh |
Linux恶意Shell |
|
hxxp[:]//14.55.65.217:8080/a/apache.sh |
Linux恶意Shell |
表3‑2 挖矿脚本中的矿池地址和钱包地址
|
矿池地址 |
钱包地址 |
|
91.121.140.167:80 |
45tdM15BthJWCKScmdxF9nGKfnZJpV8jK3ZmBDUofM5fdzoXURTrb9QQeCwiNXHyvibVFqtxeWwx57FnCqL4Z3y4S4G2tTy |
|
pool.supportxmr.com:80 |
根据矿池地址记录,目前,该钱包现在平均算力约170KH/s。
图3‑4 挖矿算力
针对非法挖矿,建议企业采取如下防护措施:
1.安装终端防护:安装反病毒软件;
2.加强SSH口令强度:避免使用弱口令,建议使用16位或更长的密码,包括大小写字母、数字和符号在内的组合,同时避免多个服务器使用相同口令;
3.及时更新补丁:建议开启自动更新功能安装系统补丁,服务器、数据库、中间件等易受攻击部分应及时更新系统补丁;
4.及时更新第三方应用补丁:建议及时更新第三方应用如Tomcat、WebLogic、JBoss、Redis、Hadoop和Apache Struts等应用程序补丁;
5.开启日志:开启关键日志收集功能(安全日志、系统日志、错误日志、访问日志、传输日志和Cookie日志),为安全事件的追踪溯源提供基础;
6.主机加固:对系统进行渗透测试及安全加固;
7.部署入侵检测系统(IDS):部署流量监控类软件或设备,便于对恶意代码的发现与追踪溯源。
表5‑1 脚本文件
|
病毒名称 |
Trojan/Win32.Ymacco |
|
原始文件名 |
lr.ps1 |
|
MD5 |
701EDFC11EE90B8A0D106B6FD98F5B42 |
|
文件大小 |
2.84KB(2,904字节) |
|
解释语言 |
PowerShell |
|
VT首次上传时间 |
2022-03-06 02:22:32 |
|
VT检测结果 |
12/59 |
删除现有Windows Management Instrumentation (WMI)类的实例,判断系统用户名中是否包含“SYSTEM”字符串,如果包含,使用PowerShell命令下载字符串,执行后续指令。
图5‑1 删除WMI类的实例
如果不包含“SYSTEM”字符串,创建名为“log4”的计划任务,每隔5分钟重复一次。结束竞品进程程序,下载开源门罗币挖矿程序XMRig和配置文件并执行。
图5‑2 下载挖矿程序
表5‑2 脚本文件
|
病毒名称 |
Trojan[Downloader]/Shell.Agent |
|
原始文件名 |
lr.sh |
|
MD5 |
E06704BCBED0CE2D7CADE20FA1D8A7B6 |
|
文件大小 |
2.09KB(2,138字节) |
|
解释语言 |
Shell |
|
VT首次上传时间 |
2022-03-05 22:26:41 |
|
VT检测结果 |
20/58 |
结束竞品挖矿进程。
图5‑3 结束竞品挖矿程序
创建计划任务,查询重要目录下的挖矿关键字符串等信息,如果则强制结束相关进程。
图5‑4 创建计划任务
下载挖矿程序和配置文件以及脚本文件并执行,最后删除脚本文件。
图5‑5 下载挖矿程序和配置文件
结束竞品程序,独占系统资源。
图5‑6 结束竞品进程
|
IoCs |
|
3EDCDE37DCECB1B5A70B727EA36521DE |
|
701EDFC11EE90B8A0D106B6FD98F5B42 |
|
BF9CC5DF6A9FF24395BD10631369ACBF |
|
D6E55C081CCABD81E5DE99ABFE9597F4 |
|
135276572F4C6A8B10BD31342997B458 |
|
E06704BCBED0CE2D7CADE20FA1D8A7B6 |
|
639825B85E02E6B9DFFCA50EE4DE9B6B |
|
56BB7858F60C026DF6D48C32099EA2E7 |
|
14.55.65.217 |
|
14.55.65.199 |
|
91.121.140.167 |
|
pool.supportxmr.com:80 |
|
hxxp[:]//14.55.65.217:8080/a/x.exe |
|
hxxp[:]//14.55.65.217:8080/a/lr.ps1 |
|
hxxp[:]//14.55.65.217:8080/a/config.json |
|
hxxp[:]//14.55.65.217:8080/a/lrr.txt |
|
hxxp[:]//14.55.65.217:8080/a/x.rar |
|
hxxp[:]//14.55.65.217:8080/a/lr.sh |
|
hxxp[:]//14.55.65.217:8080/a/apache.sh |
本文作者:AntiyLab
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/180203.html
必填 您当前尚未登录。 登录? 注册
必填(保密)